Konferencja naukowa Instytutu Nauk Prawnych PAN i GIODO „Wykonywanie funkcji inspektora ochrony danych w świetle przepisów ogólnego rozporządzenia o ochronie danych” - podsumowanie i kilka nowinek
22/02/2017
W dniu 14 lutego br. odbyła się w Instytucie Nauk Prawnych Polskiej Akademii Nauk konferencja naukowa „Wykonywanie funkcji inspektora ochrony danych w świetle przepisów ogólnego rozporządzenia o ochronie danych”. Prezentujemy Państwu kilka ciekawych zagadnień, które pojawiły się podczas tego spotkania zapowiadających czego możemy spodziewać się w sferze legislacji praktyki.
Konferencję otworzyła prof. INP PAN dr hab. Celina Nowak, Dyrektor Instytutu Nauk Prawnych PAN i Generalny Inspektor Ochrony Danych Osobowych dr Edyta Biela-Jomaa. GIODO wskazała na to, iż niedawno pojawił się projekt postępowania przed GIODO, a także wspomniałam o propozycji aby obecni ABI stali się inspektorami ochrony danych.
Paweł Makowski z Biura GIODO odniósł się do wytycznych Grupy Roboczej ds. art. 29. Rola miękkich instrumentów jest niezwykle ważna i niezbędna do wdrożenia rozporządzenia o ochronie danych. Paweł Makowski wskazał, iż właśnie trwają prace nad przygotowaniem wytycznych dotyczących oceny skutków dla ochrony danych, w tym min. wykaz okoliczności uzasadniających przeprowadzenie DPIA, metodologię oceny skutków. W dalszej kolejności będą opracowywane wytyczne odnoszące się do certyfikacji, profilowania, zgody, transparentności i przejrzystości – sposobu realizacji obowiązku informacyjnego, a także notyfikacji naruszeń. Ponadto wskazał, iż w związku ze zgłoszonymi uwagami wytyczne dotyczące inspektorów ochrony danych będą modernizowane. Wytyczne wskazują na konieczność sporządzenia dokumentu - analizy dotyczącej przeprowadzenia oceny czy powołanie inspektora ochrony danych jest konieczne, w sytuacji gdy administrator danych nie jest organem lub podmiotem publicznym. Wytyczne nie precyzują chociażby jak często, w jakich sytuacjach należy przeprowadzać taką analizę. Rozstrzygnięcia także wymaga dla jakiej maksymalnej liczby podmiotów jedna osoba może być inspektorem ochrony danych.
Dr Maciej Kawecki z Ministerstwa Cyfryzacji wskazał, iż planowane są działania legislacyjne dotyczące inspektora ochrony danych. Art. 37 RODO wymaga doprecyzowania w zakresie - formy, terminu, aktualizacji, zakresu danych dotyczący notyfikacji. Odniósł się także do art. 37 ust. 4 RODO, który przewiduje, iż prawo krajowe może wskazywać kategorie podmiotów dla których wyznaczenie inspektora ochrony danych będą obowiązkowe. Takie wskazanie ma nastąpić w regulacjach sektorowych i prawdopodobne zostanie ujęte w nowej ustawie dotyczącej ochrony danych osobowych w formie zmian do tych przepisów.
Do zagadnienia dodatkowego wyznaczania przez przepisy krajowe kategorii podmiotów, dla których wyznaczenie inspektora ochrony danych będzie obowiązkowe odniósł się także w swoim wystąpieniu dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN. Jednocześnie wskazał on na treść wytycznych Grupy Roboczej ds. art. 29, które w jego ocenie kreują czwartą grupę podmiotów które będą powinny powołać inspektora ochrony danych, już nie jako wprost obowiązek, ale ”rekomendacja”. Jednocześnie dr Grzegorz Sibiga poruszył ciekawą kwestię wyznaczenia inspektora ochrony danych przez sądy. W jego opinii sądy muszą powołać inspektora ochrony danych, ale nie w zakresie sprawowania wymiaru sprawiedliwości.
Ciekawe i praktyczne wystąpienie Pani Marioli Więckowskiej Administratora Bezpieczeństwa Informacji, Allegro przybliżyło uczestnikom konferencji nowe zagadnienie jakim jest analiza ryzyka ochrony danych osobowych.
Z przyjemnością zamieszczamy dla Państwa w serwisie prezentację udostępnioną nam przez Panią Mariolę Więckowską - Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku.
Konferencja cieszyła się dużym zainteresowaniem. Gratulujemy organizatorom i dziękujemy za zaproszenie.